Kerro käsittelystä rekisteröidylle

Informointia varten täytyy kartoittaa ja dokumentoida kokonaiskuva henkilötietojen käsittelyn nykytilasta.

Informoinnin kannalta olennaista on, että rekisterinpitäjällä on selkeä kuva tietosuoja-asetuksen 13 ja 14 artiklassa säädetyistä henkilötietojen käsittelyä koskevista seikoista: esimerkiksi kenen tietoja käsitellään, mihin tarkoituksiin ja millä perusteella, luovutetaanko tai siirretäänkö henkilötietoja organisaation ulkopuolelle ja kauanko niitä säilytetään.

Henkilötietojen käsittelyn kokonaistilanteen kartoittaminen on osa osoitusvelvollisuuden toteuttamista.

Rekisteröidylle annettua informaatiota koskevat seuraavat kriteerit:

• Tiedon on oltava tiivistä, läpinäkyvää, ymmärrettävää ja helposti saatavilla.
• Informoinnissa on käytettävä selkeää ja yksinkertaista kieltä. Tämä on erityisen tärkeää, kun informoidaan lapsia.
• Tieto on annettava kirjallisesti ja tapauskohtaisesti sähköisessä muodossa. Jos rekisteröity pyytää, tiedot voidaan antaa myös suullisesti.
• Tiedot on annettava maksutta.

Henkilötietojen käsittelyä koskevan viestinnän läpinäkyvyyden kriteerit koskevat kaikkea rekisterinpitäjän ja rekisteröidyn välistä kommunikaatiota koko henkilötietojen käsittelyn elinkaaren ajan.

Kiinnitä erityistä huomiota käsittelyn tarkoituksen määrittämiseen. Rekisteröidyllä tulee olla selkeä käsitys siitä, mihin kaikkiin tarkoituksiin hänen henkilötietojaan käsitellään. Organisaatio voi käsitellä henkilötietoja useissa eri tarkoituksissa. Niitä voivat olla esimerkiksi rekrytointi, työsuhteen hallinta, markkinointi, asiakassuhteiden ja kumppanuuksien ylläpito sekä tapahtumat.

Rekisterinpitäjän on myös arvioitava rekisteröityjen oikeuksiin ja vapauksiin kohdistuvia riskejä. Informoinnin yhteydessä näistä riskeistä on kerrottava mahdollisimman objektiivisesti.

Jos organisaatiossa on osana henkilötietojen käsittelyn kokonaisarviointia laadittu tietosuoja-asetuksen 30 artiklan mukainen seloste käsittelytoimista, sitä voi käyttää apuna informoinnin suunnittelussa. Jos organisaatiossa on laadittu kumotun henkilötietolain mukainen rekisteriseloste, myös sitä voi käyttää suunnittelun pohjana. Huomaa kuitenkin, että henkilötietolain mukainen rekisteriseloste ei todennäköisesti vastaa tietosuoja-asetuksen vaatimuksia.

Olennaista on tunnistaa, mistä tiedot hankitaan: rekisteröidyltä itseltään vai muualta. Jos henkilötiedot saadaan rekisteröidyltä itseltään, sovelletaan tietosuoja-asetuksen 12 ja 13 artiklaa. Jos henkilötiedot saadaan muualta, sovelletaan tietosuoja-asetuksen 12 ja 14 artiklaa.

Se, mistä henkilötiedot hankitaan, vaikuttaa informoinnin tietosisältöön, ajankohtaan ja rajoitusperusteisiin.

Tietosisältö

Rekisteröidylle toimitettava tietosisältö on osittain riippuvainen siitä, kerätäänkö henkilötiedot rekisteröidyltä itseltään vai muualta.

Informoinnin sisältö riippuu myös käsittelyn oikeusperusteesta. Jos henkilötietoja esimerkiksi käsitellään rekisteröidyn suostumuksen perusteella, on rekisteröidylle kerrottava mahdollisuudesta peruuttaa annettu suostumus.

Ajankohta

Jos henkilötiedot kerätään rekisteröidyltä itseltään, rekisterinpitäjän on toimitettava käsittelyä koskeva informaatio rekisteröidylle silloin, kun tiedot kerätään.

Jos henkilötiedot kerätään muualta kuin rekisteröidyltä itseltään, tulee henkilötietojen käsittelyä koskevat tiedot toimittaa rekisteröidylle kohtuullisen ajan kuluessa, mutta viimeistään kuukauden sisällä. Tiedot on toimitettava ennen yhden kuukauden määräaikaa näissä tilanteissa:

• Jos henkilötietoja käytetään viestintään rekisteröidyn kanssa ennen määräajan umpeutumista, henkilötietojen käsittelyä koskevat tiedot tulee toimittaa tällöin.
• Jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle ennen määräajan umpeutumista, käsittelyä koskevat tiedot on toimitettava rekisteröidylle viimeistään silloin, kun tietoja luovutetaan ensimmäisen kerran.

Rajoitusperusteet

Silloin, kun tiedot kerätään rekisteröidyltä itseltään, henkilötietojen käsittelyä koskevia tietoja ei tarvitse toimittaa, jos rekisteröity on jo saanut tiedot. Rekisterinpitäjän täytyy pystyä osoittamaan, että rekisteröity on todella saanut tiedot ja että annettu informaatio ei sen jälkeen ole muuttunut.

Perusteet poiketa informointivelvoitteesta ovat laajemmat silloin, kun henkilötiedot kerätään muualta kuin rekisteröidyltä itseltään.

Tietosuoja-asetuksen mukaan informointivelvollisuudesta voidaan poiketa näissä tilanteissa:

• Jos tietojen hankinnasta tai luovuttamisesta säädetään nimenomaisesti rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi.
• Jos tiedot on pidettävä luottamuksellisina, koska niitä koskee unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuva vaitiolovelvollisuus, kuten lakisääteinen salassapitovelvollisuus.
• Myös kansallisessa tietosuoja-asetusta täydentävässä lainsäädännössä voidaan säätää rajoituksista informointivelvoitteeseen.

Rekisterinpitäjän tulee kartoittaa kohderyhmä eli rekisteröidyt ja potentiaaliset rekisteröidyt: kuuluuko kohderyhmään esimerkiksi lapsia, joille suunnatun informaation tulisi olla erityisen selkeää? Entä muita erityistä suojaa tarvitsevia ryhmiä?

Yhtenä arviointikriteerinä informoinnin läpinäkyvyydelle on, että kohderyhmään kuuluvan keskivertohenkilön tulisi ymmärtää annettu informaatio.

Henkilötietojen käsittelystä kertominen on laissa säädetty velvoite, mutta ennen kaikkea se on tärkeä osa asiakaspalvelua ja luottamuksellisen asiakassuhteen rakentamista.

Tietosuoja-asetuksessa ei säädetä tietystä muodosta (esim. selosteesta), jolla informointivelvoitteen alaiset tiedot olisi rekisteröidylle tarjottava.

Yleisölle suunnatut tiedot voidaan antaa sähköisessä muodossa esimerkiksi verkkosivuilla. Tieto pitäisi julkaista verkkosivuilla yleisesti tunnetulla nimellä, kuten ”tietosuoja”, ”tietosuojaseloste”, ”yksityisyys” tai ”yksityisyyden suoja” (engl. ”privacy”, ”privacy policy”, ”data protection notice”). Henkilötietojen käsittelyä koskevat tiedot tulee antaa selkeästi erillään muusta informaatiosta. Informaation tulee olla rekisteröidyn saatavilla maksutta.

Pääsääntöisesti tiedot on annettava kirjallisesti. Henkilötietojen keräämiseen käytetty väline voi kuitenkin asettaa rajoitteita sille, millä tavalla informaatio voidaan tarjota (esim. kun henkilötietoja kerätään puhelimitse tai näytöttömien laitteiden kautta). Lisäksi informaation antamisen tapaan voi vaikuttaa kohderyhmä (esim. näkörajoitteiset).

Varmista, että informaatio on saatavilla silloin, kun henkilötietoja kerätään. Suunnittele myös, miten toimitat tiedot rekisteröidylle tilanteissa, joissa henkilötiedot saadaan muualta kuin rekisteröidyltä itseltään esimerkiksi sähköpostitse tai kirjeellä.

Esimerkki: kerroksellinen informointi

Kerroksellisessa informoinnissa henkilötietojen käsittelyä koskeva kokonaisinformaatio pilkotaan pienempiin osiin. Informaatio pyritään antamaan rekisteröidylle helposti omaksuttavina kokonaisuuksina niin, että henkilötietojen käsittelyn yleisestä kuvauksesta edetään kohti yksityiskohtaisempaa käsittelytoimien kuvausta. Eri tietosisältöjä ja -kokonaisuuksia pilkotaan pienempiin osiin ja linkitetään toisiinsa kerroksellisesti. Keskeisimpien tietojen ja mahdollisten yllätyksellisten ehtojen tulisi löytyä ensimmäisestä kerroksesta. Kerroksellisuudella voidaan lisätä informoinnin selkeyttä ja ymmärrettävyyttä sekä ehkäistä informaatiotulvaa.

Tiedot on kuvattava yksinkertaisella ja selkeällä kielellä. Kiinnitä erityisesti huomiota siihen, että käsittelyn tarkoituksista ja seurauksista kerrotaan helposti ymmärrettävällä tavalla.

Osana riskiperusteista lähestymistapaa rekisterinpitäjän on myös arvioitava rekisteröityjen oikeuksiin ja vapauksiin kohdistuvia riskejä. Informoinnin yhteydessä näistä riskeistä on kerrottava mahdollisimman objektiivisesti.

Läpinäkyvyyden osalta osoitusvelvollisuuden periaate tarkoittaa, että rekisterinpitäjien on dokumentoitava, miten henkilötietoja käsitellään rekisteröidyn kannalta läpinäkyvästi. Varmista, että organisaatiolla on käytössä menettelytavat, joilla se voi varmistaa osoitusvelvollisuuden toteutumisen.

Rekisterinpitäjien tulisi varmistaa, että ainakin seuraavat seikat dokumentoidaan:

• pyyntö, jos informaatiota on pyydetty suullisesti
• rekisteröidyn tunnistamistapa tilanteissa, joissa tunnistamista vaaditaan (ei 13 ja 14 artiklan mukaisen informointivelvoitteen toteuttamisen yhteydessä)
• tieto siitä, että informaatio on tarjottu rekisteröidylle
• syy mahdolliseen informointivelvoitteesta poikkeamiseen ja tätä koskevat yksityiskohdat.

Osoitusvelvollisuuden toteuttamiseksi voi olla hyödyllistä järjestää ja dokumentoida käyttäjätestauksia, joiden avulla kartoitetaan selkein informointitapa. Huomaa, että jos käytät testaukseen rekisteröityjen henkilötietoja, on testauskäyttökin mainittava yhtenä tietojen käsittelytapana.

Läpinäkyvyyden periaate ja sen vaikutus informointivelvollisuuteen on otettava huomioon tietojen koko elinkaaren ajan. Arvioi määräajoin, vastaako informointi tosiasiallista henkilötietojen käsittelyä.

Viesti mahdollisista muutoksista selkeästi ja hyvissä ajoin. Muista, ettei henkilötietojen käsittelyn tarkoitusta voi muuttaa yhteensopimattomaksi alkuperäisen tarkoituksen kanssa ilman rekisteröidyn suostumusta tai lain säännöstä.

Läpinäkyvä viestintä on tärkeää myös silloin, kun viestitään muutoksista informointivelvollisuuden alaisiin tietoihin, toteutetaan rekisteröidyn oikeuksia tai viestitään mahdollisista henkilötietojen tietoturvaloukkauksista.